A digitális identitás a digitális gazdaság kihívásainak középpontjában áll: közismert, hogy az információipari óriáscégek és a rendszer néhány további szereplője a felhasználók személyes adatainak birtoklásán alapuló üzleti modellt használ.

Azonban a meglévő identitás ökoszisztémák mindmáig nem alkalmazkodtak megfelelően az olyan kihívásokhoz, mint a magánélet védelme (GDPR), az új csalásellenes szabályozások betartása, vagy akár az identitás-lopások megelőzése. A magánélet védelméhez kapcsolódó adatvédelem magában foglalja mind az egyén személyazonosságának védelmét, mind a személyes adatok egészének védelmét. A digitális világban a magánéletnek ez a fogalma azonban feszültséget kelt a digitális rendszereken vagy az interneten való mozgás névtelenségének igénye, valamint a szociális tér, a vita megoldások és az igazságszolgáltatás megbízhatóságának szükségessége között. Ez utóbbi kör kihívása, hogy a szuverén államok nehezen tudják érvényesíteni az állampolgáraik és lakosaik adataira vonatkozó jogszabályaikat. Ezért egyre sürgetővé válik olyan megoldások kidolgozása, amelyek tiszteletben tartják értékeinket és kultúránkat, amelyek védik az egyének identitását, és elkerülik annak bitorlását és áruvá tételét.

De miről is beszélünk? A digitális identitás, vagyis a digitális személyazonosság ellenőrzött digitális attribútumok (pl. személyes és biometrikus adatok) és hitelesítő adatok összessége, hasonlóan a fizikai személyazonossági igazolványokhoz. Tartalmazhat olyan attribútumokat, mint egyedi azonosító szám, társadalombiztosítási szám, név, születési hely és idő, állampolgárság, biometrikus adatok és egyebek, a nemzeti jogszabályok által meghatározottak szerint. A nemzeti szinten szabályozott hitelesítő adatok digitális megjelenése nagyon különböző lehet: pl. egyedi azonosítószám alapú, mint Indiában, ahol az Aadhaar elektronikus azonosítóra épülő rendszer 1,3 milliárd embert (a felnőttek 99%-át) érinti, s a 13 nyelven Android és iOS rendszeren elérhető hivatalos mobilalkalmazás lényegében virtuális személyi igazolványként működik. A digitális azonosító mobilazonosítókét használható Finnországban, vagy Észtországban; kártyaként Németországban, Olaszországban, Spanyolországban, vagy Portugáliában. Világszerte indulnak nemzeti digitális azonosító kialakítását célzó programok, s ezek jó része ma már biometrikus adatok rögzítését is tartalmazza, többnyire ujjlenyomat formájában. Az Öböl Együttműködési Tanács országai, amelyhez Szaúd-Arábia, az Emírségek, és Katar mellett további hat ország tartozik, a 2000-es évek első évtizedében indították el a közös alapokon nyugvó nemzeti e-azonosító programjaikat azzal a céllal, hogy a nemzeti e-azonosítók a térség valamennyi országában használhatók legyenek, s e-azonosítóra alapozott személyazonosítás a virtuális világ szolgáltatásaiba is belépőt jelentsen: nemcsak az állami, hanem a piaci szolgáltatások területén is. A legtöbb öböl-menti ország mindezekhez kiegészítő szolgáltatásokat is társít: biometrikus azonosítás, e-tárca a dokumentumtároláshoz, elektronikus fizetés, COVID igazolvány, mobilapp, stb.

Nemzeti eID rendszerek az Európai Unióban

Az Európai Unió a 2010-es évek elején indította az országokon átnyúló e-azonosító programját a 2014-ben megjelent EIDAS rendelet révén. A rendelet szerinti rendszerek kiépítése azonban máig viszonylag lassan haladt: jelenleg 15 tagállamban működik közös elfogadásra bejelentett eID rendszer, összesen 19 (2020-ig): FAS / eCards (Belgium) , itsme (Belgium), a Nemzeti Azonosító és Hitelesítési Rendszer (Horvátország) , a Cseh Köztársaság nemzeti azonosítója, az észtországi eID rendszer, a kiterjesztett hozzáférés-vezérlésen alapuló német eID, a SPID rendszer (Olaszország), a nemzeti eID kártyán alapuló olasz eID, a lett eID rendszer, a luxemburgi eID kártya, a Trust Framework for Electronic Identification (Hollandia), a Cartão de Cidadão (Portugália) , a Szlovák Köztársaság nemzeti elektronikus azonosítási rendszere, a Documento Nacional de Identidad electrónico (Spanyolország) és a GOV.UK Verify (Egyesült Királyság). 2020-ban négy uniós tagállam – Dánia, Litvánia, Hollandia és Portugália – jelentett be új elektronikus személyazonosító rendszereket. Emellett Németország frissítette a bejelentett rendszerét, hogy annak részeként egy további eID eszköz is használható legyen.

A bejelentés három szakaszból áll: előzetes bejelentés, majd szakértői értékelés, végül hivatalos bejelentés. Ezután a többi tagállamnak 12 hónap áll rendelkezésére, hogy elfogadják azokat a felhasználókat, akik az újonnan bejelentett eID rendszerrel azonosítják magukat. Ezek a rendszerek a következő kulcsterületeket érintik:

• hozzáférés kiemelkedően biztonságos és megbízható elektronikus személyazonossági megoldásokhoz,
• olyan megbízható és biztonságos digitális személyazonossági megoldások, amelyekre a köz- és magánszolgáltatások támaszkodhatnak,
• a természetes és jogi személyek képessé tétele a digitális személyazonossági megoldások használatára,
• e megoldások különféle attribútumokhoz kapcsolása, és a személyazonosító adatok célzott megosztásának lehetővé tétele az igénybe vett szolgáltatás által szükségessé tett mértékre korlátozva,
• minősített bizalmi szolgáltatások elfogadása az EU-ban, és egyenlő feltételek ezek nyújtásához.

Korlátozott elérhetőség, visszaélés veszélye

Az Ügyfélkapu használói Magyarországon is beléphetnek a kormányzati szolgáltatások rendszerébe az új típusú kártya formátumú személyi igazolványuk révén, ha van kártyaolvasó a gépükhöz csatlakoztatva. A legtöbb nemzeti digitális azonosító programhoz hasonlóan ez a fajta megbízható azonosítás az állami szolgáltatások körében használható, s a különféle piaci szolgáltatók által kezelt digitális azonosítók jóval inkább kitettek a csalás veszélyének – beleértve az általában megbízhatónak tartott pénzügyi szolgáltatókat is. Az engedélyezett fizetésnek álcázott csalások (APP, Authorised Push Payment) száma rohamosan, akár évi 40 százalékkal növekszik, s a kárérték évente több milliárd dollárra rúg. A Thomson Reuters szerint egyes nagyobb bankok és pénzügyi vállalkozások évente akár 500 millió dollárt költenek az ügyfélazonosítás, az ügyfelek pénzügyi hátterének megismerésének (KYC, Know Your Customer), valamint a pénzmosás elleni küzdelem (AML, Anti Money Laundering) a legkritikusabb követelményeinek betartására. A minden bank és pénzügyi intézmény számára kötelező KYC / AML előírások betartása érdekében külön nyilvántartást kell vezetniük a pénzmosás, a terrorista tevékenységek és a személyazonosság-lopás megakadályozása érdekében. A szabályozási rendszerek bonyolulttá és merevvé válásával a megfelelési költségek, valamint az azok teljesítéséhez szükséges idő továbbra is növekedni fog. A hatalmas költségek a létező KYC-folyamatok egyes hatékonysági problémáira is rámutatnak, mint:

• a pénzügyi közvetítőkön belül és azok között végzett KYC megfelelőségi munka ismétlődése,
• az egyes intézmények és a szabályozók közötti következetlen adatok, mivel az információk naprakészen tartása hosszú és fárasztó folyamat,
• a folyamatok kézi validálásának és koordinálásának jelentős idő- és erőforrás-igénye.

Az EIDAS továbbfejlesztése

Az Európai Bizottság 2021. június 3-án tette közzé az eIDAS rendelet módosításáról szóló rendeletjavaslatot. A javasolt módosítás célja a digitális azonosítás harmonizáltabb megközelítésének kialakítása – ezzel szolgálva az egységes piac erősítését. Az új pontok lehetővé teszik a polgárok, a nemzeti jog által meghatározott más lakosok és a vállalkozások számára, hogy biztonságos, kényelmes és egységes módon online azonosítsák magukat az egész Unióban.

Európai digitális személyiadat-tárca

A javaslat bevezeti az „Európai digitális személyiadat-tárca” fogalmát, amely többek között lehetővé teszi a felhasználók számára, hogy személyazonosságukhoz kapcsolódó adatokat, hitelesítő adatokat és attribútumokat tároljanak benne, hogy kérésre átadja azokat érintett harmadik feleknek, és szolgáltatáshoz online és offline hitelesítésre használja, valamint minősített elektronikus aláírással aláírhassák a műveletet. Az tárca használatának mindenki számára ingyenesnek kell lennie, és a fogyatékkal élők számára hozzáférhetőnek kell lennie. A tárcát valamely tagállamnak (vagy annak megbízatása alapján), vagy önállóan, de egy tagállam által elismerten kell kiállítania. Az offline használat számos ágazatban fontos lenne, beleértve az egészségügyi ágazatot is, ahol gyakran személyes interakció révén nyújtják a szolgáltatásokat.

Elektronikus azonosítási rendszerek

Annak érdekében, hogy több elektronikus azonosítási eszköz álljon rendelkezésre a határokon átnyúló használatra, a tagállamoknak be kell jelenteniük legalább egy „elektronikus azonosítási rendszert”, amely legalább egy azonosítási eszközt tartalmaz.

Egyedi azonosítás

Az egyedi azonosítás garantálása érdekében a tagállamoknak működtetniük kell egy magánszemély, vagy jogi személy egyedi és tartós képviseletéhez szükséges minimális személyazonosító adatokat tartalmazó rendszert, az uniós jognak megfelelő egyedi és állandó azonosítót, amely a felhasználó kérésére azonosítja azokban az esetekben, amikor a felhasználó azonosítását jogszabály írja elő.

A digitális tárcák határokon átnyúló felhasználása

Ha az elektronikus azonosítási eszközt használó elektronikus azonosítás a nemzeti jog, vagy a közigazgatási gyakorlat szerint hitelesítést ír elő egy tagállam közszektorbeli szerve által nyújtott online szolgáltatáshoz való hozzáféréshez, a másik tagállamban kiadott elektronikus azonosítási eszközt el kell ismerni az első tagállam az adott online szolgáltatás határokon átnyúló hitelesítése céljából, feltéve, hogy bizonyos feltételek teljesülnek.

Minősített tárolási szolgáltatás

A minősített elektronikus aláírások minősített megőrzési szolgáltatása és az elektronikus dokumentumok minősített elektronikus archiválási szolgáltatása csak a Bizottság által elfogadott szabványok szerint nyújtható, olyan minősített bizalmi szolgáltató által, amely olyan eljárásokat és technológiákat használ, amelyek képesek kiterjeszteni a dokumentumokat. a minősített elektronikus aláírás megbízhatósága a technológiai érvényességi időn túl.

A tulajdonságok elektronikus tanúsítása

A jelenlegi eIDAS keretrendszer nem terjed ki az elektronikus attribútumok, például az orvosi igazolások, vagy a szakmai képesítések biztosítására, ami megnehezíti az ilyen bizonyítványok elektronikus formában történő páneurópai jogi elismerését. Emiatt a Javaslat bevezeti az attribútumok elektronikus tanúsítását.

A Javaslat szerint az attribútumok elektronikus igazolásától nem lehet megtagadni a joghatást és a bírósági eljárásban bizonyítékként való elfogadhatóságot pusztán azon az alapon, hogy az elektronikus formában készült. A fenti tulajdonságok tanúsításának ugyanolyan joghatással kell rendelkeznie, mint a papír alapú, jogszerűen kiállított tanúsítványoknak.

Új minősített bizalmi szolgáltatások

Az elektronikus dokumentumok minősített elektronikus archiválási szolgáltatása mellett (a fent leírtak szerint) a Javaslat további új minősített bizalmi szolgáltatásokat is bevezet, nevezetesen:

• Távoli minősített aláírás-létrehozó eszköz

A „távoli minősített aláírás-létrehozó eszköz” olyan minősített elektronikus aláírás-létrehozó eszköz, ahol egy minősített megbízható szolgáltató az aláíró nevében állítja elő, kezeli, vagy sokszorosítja az elektronikus aláírás-létrehozó adatokat. A távoli minősített elektronikus aláírás-létrehozó eszközök minősített szolgáltatásként történő kezelését csak a Javaslatban foglalt feltételeknek megfelelő minősített bizalmi szolgáltató végezheti.

• Elektronikus főkönyvek

Az elektronikus főkönyv olyan hamisításbiztos elektronikus adatrögzítés, amely biztosítja a benne lévő adatok hitelességét és integritását, dátumának és időpontjának pontosságát, valamint időrendi sorrendjét. Az elektronikus főkönyvtől nem lehet megtagadni a joghatását és a bizonyítékként való elfogadhatóságát a bírósági eljárásokban kizárólag arra hivatkozva, hogy elektronikus formában van, vagy nem felel meg a minősített elektronikus főkönyvekre vonatkozó követelményeknek.

A minősített elektronikus főkönyvnek élveznie kell a benne szereplő adatok egyediségének és hitelességének vélelmét, dátumának és időpontjának pontosságát, valamint a főkönyvön belüli szekvenciális időrendi sorrendjét. Az elektronikus főkönyvek bizonyítékot és megváltoztathatatlan ellenőrzési nyomvonalat biztosítanak a felhasználók számára a tranzakciók és az adatrekordok sorrendje tekintetében, biztosítva az adatok integritását. Bár ez a bizalmi szolgáltatás nem képezte részét a hatásvizsgálatnak, meglévő bizalmi szolgáltatásokra épül, mivel az adatok időbélyegzését és sorrendjét az adatkibocsátóval kapcsolatos bizonyossággal köti össze, ami hasonló az elektronikus aláíráshoz. Erre a bizalmi szolgáltatásra a belső piac széttagoltságának megelőzése érdekében van szükség egy olyan egységes páneurópai keret meghatározásával, amely lehetővé teszi a minősített elektronikus főkönyvek működését támogató bizalmi szolgáltatások határokon átnyúló elismerését. Az adatok integritása viszont nagyon fontos a decentralizált forrásokból származó adatok összevonása, az önállóan kezelt személyazonossági megoldások, a digitális eszközök tulajdonjogának megállapítása, az üzleti folyamatoknak a fenntarthatósági kritériumoknak való megfelelés ellenőrzése céljából történő rögzítése, valamint a tőkepiacokon előforduló különböző felhasználási esetek szempontjából.

SSI és eID

Az EIDAS rendeletben az elektronikus főkönyvek révén megjelenő fogalom, az önállóan kezelt személyazonosság (Self-Sovereign Identity, SSI) olyan feltörekvő koncepció, amely blokklánc-technológiákon alapul, és az identitás kezelésének módjához kapcsolódik a digitális világban. A felhasználó-központúságra összpontosítva azt a célt szolgálja, hogy a felhasználók teljes ellenőrzést biztosítsanak saját identitásuk felett, anélkül, hogy bármilyen központi hatóságra támaszkodnának. Az SSI-elvek az új javaslatban mindenütt megtalálhatók, de egyértelű szabályozás nem szerepel azzal kapcsolatban, hogy az ESSIF, az Európai Bizottság EBSI-programja (Európai Blokklánc Szolgáltató Infrastruktúra) keretében kifejlesztett európai SSI-keretrendszer lesz-e a kormányok által választott technológiai keretrendszer. Habár ez a kérdés még nyitott, afelől nem sok kétségünk lehet, hogy az elektronikus azonosítás sokrétű problémáira való technológiai válasz a blokklánc, ill. az elosztott digitális főkönyvek (DLT) eszközkészlete felől érkezik.

Blokklánc, mint megoldás

A blokklánc olyan megváltoztathatatlan tranzakciós főkönyv, amelyet egyenrangú csomópontok (Peer Node, vagy Peer) elosztott hálózata tart fenn. A csomópontok mindegyike őrzi a főkönyv egy példányát olyan tranzakciók révén, amelyeket egy adott konszenzusprotokoll által validált blokkokba csoportosítottak, s amelyek az összes blokkot az előző blokkhoz kötő hash-t tartalmaznak.

A blokklánc, mint az adatok tárolásának és továbbításának fejlett formája, biztonságos és hatékony módszer lehet a KYC / AML megfeleléshez használt adatok tárolására, melynek révén a bankok és a pénzügyi intézmények által az ügyféltől gyűjtött információkat közös blokkláncba mentik. Felgyorsíthatja az ügyfelek regisztrációs és ellenőrzési folyamatait, és drasztikusan csökkentheti az ezzel járó költségeket, s továbbá jól megfelel a szabályozói jelentések szigorú követelményeinek. Mivel minden fél ugyanahhoz az információhoz fér hozzá a megosztott adathálózatban, nem kell összehangolni a tranzakciók nyilvántartásait, vagy az adatokat a vállalatok, a szabályozók és a megfelelőségi tisztviselők között. Az információ már megtalálható a blokkláncban, és valós időben vagy közel valós időben frissül.

A blokklánc használatának egyik fő előnye, hogy az információkat intelligens szerződések tárolják, amelyek változatlanok, biztonságosak és átláthatók. Az intelligens szerződések használata kiküszöböli a harmadik fél általi ellenőrzés szükségességét, és hasonlóan az Excel táblázatban szereplő „ha - akkor” parancshoz, az intelligens szerződéseket úgy is programozták, hogy bizonyos utasítások szerint működjenek. Ennek révén:

• A KYC / AML biztonságosan megosztható a részlegek és más pénzügyi intézmények között, ahelyett, hogy a felhasználói adatokat többször gyűjteni és ellenőrizni kellene.
• A pénzügyi intézmények különféle részlegei azonnal információt szerezhetnek, drasztikusan csökkentve a működési költségeket.
• A digitálisan elérhető információk révén a pénzügyi intézmények jobb felhasználói élményt nyújthatnak.

Egy példa: a Verified.Me

Habár az EU területén is számos ígéretes fejlesztés zajlik, a KYC / AML költségek megosztása, a járulékos költségek csökkentése és a biztonság növelése érdekében a tengeren túl mégiscsak messzebb jutottak. A Kanadai Digitális ID és Hitelesítési Tanács (DIACC) és a Rutgers Egyetem kutatásai nyomán Kanada hét legnagyobb pénzügyi intézménye 2019-ben elindította a Verified.Me blokklánc-alapú adatvédelem-centrikus digitális személyazonosság-ellenőrző hálózatot, amely az SSI-elvek mentén erős hitelesítést biztosít az egyének magánéletének védelme mellett. A rendszer alapelve, hogy a kanadaiak maguk kezeljék saját érzékeny személyes adataikat, ezért a Verified.Me nem fér hozzá a felhasználók banki adataihoz vagy a bankokba való bejelentkezéshez használt hitelesítő adatokhoz.

1. ábra: A Verified.Me használati példája egy bérelt alkalmazás személyazonosságának ellenőrzésére. Forrás: https://verified.me/

Az engedélyezett blokklánc volt a természetes választás a Verified.Me szolgáltatáshoz, mivel – a szolgáltatás ágazatközi és együttműködő tulajdonságait megőrizve – továbbra is ellenőrizni kell, hogy ki vesz részt a hálózatban és a kontroll folyamatban. A blokklánc platform – jelen esetben a Hyperledger Fabric – megteremti az alapot, amelyre a modern digitális identitást használó szolgáltatások biztonsággal és a megóvott magánéletre alapuló bizalommal építkezhetnek.

Összegzésként elmondhatjuk, hogy a digitális azonosítási megoldások szükségesek, jelentősen megkönnyítik a felhasználók és szolgáltatók életét, működését – azonban kizárólag megfelelő szabályozási keretrendszerben, megfelelő felhasználói tudatosság mellett lehet azokat optimálisan és kockázatmentesen alkalmazni!

Források

• Electronic Identification - Shaping Europe's digital future
• Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity
• European Commission: Digital Strategy: eIDAS Regulation
• European Commission: Press Release, 03/06/2021: Commission proposes a trusted and secure Digital Identity for all Europeans
• Tech Crunch, 03/06/2021: Europe wants to go its own way on digital identity
• Digital ID & Authentication Council of Canada
• Me
• Help verify your identity using Verified.Me - Canada.ca
• Canada's big banks launch Verified.Me network to help prevent ID theft - CBC
• hyperledger fabric docs - Read the Docs